AWS - Macie Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Macie, bir AWS hesabındaki verileri otomatik olarak tespit etmek, sınıflandırmak ve tanımlamak için tasarlanmış bir hizmet olarak öne çıkmaktadır. Makine öğrenimi kullanarak verileri sürekli izler ve analiz eder, esas olarak cloud trail event verilerini ve kullanıcı davranış kalıplarını inceleyerek olağandışı veya şüpheli etkinlikleri tespit etmeye ve bildirmeye odaklanır.
Amazon Macie'nin Ana Özellikleri:
Aktif Veri İncelemesi: AWS hesabında çeşitli eylemler gerçekleşirken verileri aktif olarak incelemek için makine öğrenimi kullanır.
Anomali Tespiti: Düzensiz etkinlikleri veya erişim kalıplarını tanımlar, potansiyel veri sızıntısı risklerini azaltmak için uyarılar oluşturur.
Sürekli İzleme: Amazon S3'te yeni verileri otomatik olarak izler ve tespit eder, zamanla veri erişim kalıplarına uyum sağlamak için makine öğrenimi ve yapay zeka kullanır.
NLP ile Veri Sınıflandırması: Farklı veri türlerini sınıflandırmak ve yorumlamak için doğal dil işleme (NLP) kullanır, bulguları önceliklendirmek için risk puanları atar.
Güvenlik İzleme: API anahtarları, gizli anahtarlar ve kişisel bilgiler gibi güvenlik açısından hassas verileri tanımlar, veri sızıntılarını önlemeye yardımcı olur.
Amazon Macie, bölgesel bir hizmettir ve işlevsellik için 'AWSMacieServiceCustomerSetupRole' IAM Rolü ve etkin bir AWS CloudTrail gerektirir.
Macie, uyarıları önceden tanımlanmış kategorilere ayırır:
Anonim erişim
Veri uyumluluğu
Kimlik bilgisi kaybı
Ayrıcalık yükseltme
Fidye yazılımı
Şüpheli erişim vb.
Bu uyarılar, etkili yanıt ve çözüm için ayrıntılı açıklamalar ve sonuç analizleri sağlar.
Gösterge paneli verileri çeşitli bölümlere ayırır, bunlar arasında:
S3 Nesneleri (zaman aralığı, ACL, PII)
Yüksek riskli CloudTrail olayları/kullanıcıları
Etkinlik Konumları
CloudTrail kullanıcı kimliği türleri ve daha fazlası.
Kullanıcılar, API çağrılarının risk seviyesine göre katmanlara ayrılır:
Platin: Yüksek riskli API çağrıları, genellikle yönetici ayrıcalıkları ile.
Altın: Altyapı ile ilgili API çağrıları.
Gümüş: Orta riskli API çağrıları.
Bronz: Düşük riskli API çağrıları.
Kimlik türleri, isteklerin kaynağını belirten Root, IAM kullanıcı, Varsayılan Rol, Federated User, AWS Hesabı ve AWS Servisi'ni içerir.
Veri sınıflandırması şunları kapsar:
İçerik Türü: Tespit edilen içerik türuna göre.
Dosya Uzantısı: Dosya uzantısına göre.
Tema: Dosyalar içindeki anahtar kelimelere göre kategorize edilir.
Regex: Belirli regex kalıplarına göre kategorize edilir.
Bu kategoriler arasındaki en yüksek risk, dosyanın nihai risk seviyesini belirler.
Amazon Macie'nin araştırma işlevi, derinlemesine analiz için tüm Macie verileri üzerinde özel sorgular yapmayı sağlar. Filtreler arasında CloudTrail Verisi, S3 Bucket özellikleri ve S3 Nesneleri bulunur. Ayrıca, diğer hesapları Amazon Macie'yi paylaşmaya davet etmeyi destekler, bu da işbirlikçi veri yönetimi ve güvenlik izlemeyi kolaylaştırır.
Bir saldırganın perspektifinden, bu hizmet saldırganı tespit etmek için değil, depolanan dosyalardaki hassas bilgileri tespit etmek için yapılmıştır. Bu nedenle, bu hizmet bir saldırgana hassas bilgileri bulmasında yardımcı olabilir. Ancak, belki de bir saldırgan, kurbanın uyarılar almasını engellemek ve o bilgileri daha kolay çalmak için bunu bozmakla da ilgilenebilir.
TODO: PR'lar memnuniyetle karşılanır!
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
